abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:55 | Komunita

    VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.

    Ladislav Hagara | Komentářů: 1
    dnes 03:22 | Nová verze

    Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 20:11 | Komunita

    V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Nová verze

    Gemini CLI umožňuje používání AI Gemini přímo v terminálu. Vydána byla verze 0.10.0.

    Ladislav Hagara | Komentářů: 0
    včera 12:55 | Pozvánky

    Konference OpenAlt 2025 proběhne již příští víkend 1. a 2. listopadu v Brně. Nabídne přibližně 80 přednášek a workshopů rozdělených do 7 tematických tracků. Program se může ještě mírně měnit až do samotné konference, a to s ohledem na opožděné úpravy abstraktů i případné podzimní virózy. Díky partnerům je vstup na konferenci zdarma. Registrace není nutná. Vyplnění formuláře však pomůže s lepším plánováním dalších ročníků konference.

    Ladislav Hagara | Komentářů: 0
    včera 05:33 | IT novinky

    Samsung představil headset Galaxy XR se 4K Micro-OLED displeji, procesorem Snapdragon XR2+ Gen 2, 16 GB RAM, 256 GB úložištěm, operačním systémem Android XR a Gemini AI.

    Ladislav Hagara | Komentářů: 2
    včera 05:22 | Nová verze

    Před konferencí Next.js Conf 2025 bylo oznámeno vydání nové verze 16 open source frameworku Next.js (Wikipedie) pro psaní webových aplikací v Reactu. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    22.10. 23:33 | Komunita

    Sovereign Tech Fund oznámil finanční podporu následujících open source projektů: Scala, SDCC, Let's Encrypt, Servo, chatmail, Drupal, Fedify, openprinting, PHP, Apache Arrow, OpenSSL, R Project, Open Web Docs, conda, systemd a phpseclib.

    Ladislav Hagara | Komentářů: 0
    22.10. 13:11 | Nová verze

    Bylo vydáno OpenBSD 7.8. S předběžnou podporou Raspberry Pi 5. Opět bez písničky.

    Ladislav Hagara | Komentářů: 0
    22.10. 05:44 | Nová verze Ladislav Hagara | Komentářů: 2
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (20%)
     (24%)
     (18%)
     (21%)
     (18%)
     (18%)
    Celkem 266 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Dotaz: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

    15.7.2019 16:54 googler | skóre: 6
    Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    Přečteno: 409×

    Caute
    Sorry ze stale otravujem ale mam linux webserver na nom mam nainstalovany apache a firewall UFW - Povolene porty 80 a 443 (skusal som aj vypnut firewall ale nepomohlo to).

    Na mikrotiku pouzivam PPP klienta (premenovany na WAN) pre pripojenie cez DSL Telekom a modem je v rezime bridge
    Dalej som na mikrotiku v tom rychlom sprievodcovi zaklikol NAT aby nebolo "vidiet" z vonku do lokalnej siete  
    Okrem portu Eth1 mam vsetky porty prebridgovane a nazov bridgeu je LAN
    V porte Eth2 mam zapojeny switch a v nom vsetky koncove zariadenia a AP
    Mam zapnuty DHCP server
    Pravidla firewallu na mikrotiku vyzeraju takto (aj tie som skusal vypnut nepomohlo):

    [code]ip firewall filter> print
    Flags: X - disabled, I - invalid, D - dynamic
    0    ;;; Accept established and related packets
    chain=input action=accept connection-state=established,related log=no log-prefix=""

    1    ;;; Accept all connections from local network
    chain=input action=accept in-interface=LAN log=no log-prefix=""

    2    ;;; Accept established and related packets
    chain=forward action=accept connection-state=established,related log=no log-prefix=""

    3    ;;; Drop invalid packets
    chain=input action=drop connection-state=invalid log=yes log-prefix=""

    4    ;;; Drop all packets which are not destined to routes IP address
    chain=input action=drop dst-address-type=!local log=yes log-prefix=""

    5    ;;; Drop all packets which does not have unicast source IP address
    chain=input action=drop src-address-type=!unicast log=yes log-prefix=""

    6    ;;; Drop all packets from public internet which should not exist in public network
    chain=input action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix=""

    7    ;;; Drop invalid packets
    chain=forward action=drop connection-state=invalid log=yes log-prefix=""

    8    ;;; Drop new connections from internet which are not dst-natted
    chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix=""

    9    ;;; Drop all packets from public internet which should not exist in public network
    chain=forward action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix=""

    10    ;;; Drop all packets from local network to internet which should not exist in public network
    chain=forward action=drop dst-address-list=NotPublic in-interface=LAN log=yes log-prefix=""

    11    ;;; Drop all packets in local network which does not have local network address
    chain=forward action=drop src-address=!router.lan.ip.0/24 in-interface=LAN log=yes log-prefix=""

    12    ;;; Drop new connections from internet which are not dst-natted
    chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="" [/code]

    NAT (forwarding portov) vyzera takto:

    [code]/ip firewall nat> print
    Flags: X - disabled, I - invalid, D - dynamic
    0    chain=srcnat action=masquerade src-address=router.lan.ip.0/24 out-interface=WAN log=no log-prefix=""

    1    chain=dstnat action=dst-nat to-addresses=apache.webserver.lan.ip to-ports=80 protocol=tcp dst-address=router.lan.ip in-interface=WAN dst-port=80 log=no log-prefix=""

    2    chain=dstnat action=dst-nat to-addresses=apache.webserver.lan.ip to-ports=443 protocol=tcp dst-address=router.lan.ip in-interface=WAN dst-port=443 log=no log-prefix="" [/code]

    skusal som aj alternativu nastavenia dst-address priamo na verejnu IP routera ale ani to nepomohlo


    vysledok je taky ze v ramci lan je apache pristupny ale neviem preco nepocuva aj na verejnej IP? Myslim ze pricina bude v mikrotiku a nie vo webservery aj ked neviem presne kde v mikrotiku.


    Řešení dotazu:


    Odpovědi

    15.7.2019 17:00 NN
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    nemela by tam byt uvedena nahodou WAN IP adresa routeru?
    dst-address=router.lan.ip in-interface=WAN
    15.7.2019 17:21 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    V predposlednej vete prveho prispevku som napisal "skusal som aj alternativu nastavenia dst-address priamo na verejnu IP routera ale ani to nepomohlo"
    15.7.2019 17:38 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    - ma webserver nastavenu branu?

    - skusal si na nom pustit tcdpump?

    - skusal si pozriet do MKT logov?

    - osobne nemam rad pravidla typu "connection-nat-state=dstnat", ale radsej si implicitne povolim porty - je to prehladnejsie a jasnejsie

    - vzhladom na tu predposlednu vetu asi velmi nevies, co robis, tak mozno by bolo lepsie si to nastudovat
    15.7.2019 19:35 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    A máš na 100% veřejnou IP?

    Pokud vím tak veřejné IPv4 došly a nasyslené se poskytují většinou za peníze.

    Jinak přes IPv6 to funguje?

    Pokud modem použiješ jako modem a server připojíš přímo k němu tak to funguje? (Aby jsi vyloučil chybu v nastavení mikrotiku.)
    Řešení 1× (MMMMMMMMM)
    15.7.2019 20:30 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    Uz to ide reklamoval som to u ISP a problem bol u nich. Sorry za "poplach". BTW ako dst address treba naozaj pouzit WAN IP mikrotiku. BTW2 Ano za staticku verejnu ip si priplacam
    16.7.2019 23:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    PS. To s tou veřejnou IPv4 nebylo myšleno špatně, hromada lidí koukne na mojeip a myslí si že má veřejnou IP.

    Jinak já veřejné IPv4 nemusím co to jde používám IPv6.
    Max avatar 15.7.2019 22:53 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    1) spousta FW pravidel je naprosto zbytečných
    2) jak už bylo řečeno, pravidla s natem jsou špatná a osobně když dělám nat, tak ani nedefinuji IP (to kvůli tomu, kdyby došlo k její změně, tak abych nemusel předělávat i všechny pravidla), prostě :
     chain=dstnat action=dst-nat to-ports=80 protocol=tcp dst-address=ApacheIP in-interface=WAN dst-port=80 log=yes log-prefix="_NAT80_"
    
    3) zapni si logování na tom nat pravidlu, aby jsi viděl, zda tam to spojení doputuje (viz příklad výše)
    Pokud to nebude nic logovat, je to jasné, blokuje se to někde před tvým routerem.
    Zdar Max
    Měl jsem sen ... :(
    15.7.2019 23:11 V.
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    Jj, když tak doporučuju ověřit chování podle toho, jak by měly chodit pakety - https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.